Posted on by author

一、某网站实施综合信息发布系统建设项目

该项目位于企业总部大楼四层,面积约100平方米,按照国家一类网络机房标准设计,预计用电量约为10KW,采用三相五线制电源输入,双回路向机房设备供电,对电源系统提供三级防雷保护,要求铺设抗静电地板、安装微孔回风吊顶。受机房高度影响,静电地板高厘米,机房分为配电间和主电间两个区域,分别是50平方米和25平方米,配电间配置市电配电柜,服务器机柜以及精密空调等设备。

项目的功能模块如下图1所示。

网络信息发布系统标准为A、B、C三类,该项目将网络信息发布系统设计标准确定为A类,划分依据是电子信息系统机房设计规范GB5174。该方案对电源系统提供第二、三级防雷保护,对应的措施是在大楼的总配电室电源输入端安装防雷模块和对机房中UPS不间断电源做防雷接地保护。

在机房内空调制冷一般有下送风和上送风两种方式,该建设方案采用的是上送风的方式,选泽该方式的原因是静电地板的设计高度没有给下送风预留空间、可以及时发现和排除制冷系统产生的漏水,消除安全隐患。

网络布线系统通常划分为工作区子系统、水平布线子系统、配线间子系统、垂直干线子系统、管理子系统和建筑群子系统等六个子系统,机房的布线系统主要采用配线间子系统和管理子系统。

二、下图为某网站综合信息发布系统拓扑图,图中网络设备接口均为千兆带宽,服务器1至4均配置8核CPU、64GB内存、千兆网卡。

实际使用中发现服务器使用率较低,为提高资产利用率,进行虚拟化改造、拟采用裸金属架构,将服务器1至4整合为一个虚拟资源池,图中业务存储系统共计50TB,其中1TB用于虚拟化改造后的操作系统存储,40TB分配给虚拟化存储用于业务数据存储。

常见磁盘类型有SATA、SSD等,从性价比考虑,本项目中业务存储和备份存储应如何选择磁盘类型,请简要说明原因。若要进一步提升存储系统性能,在磁盘阵列上可以采取哪些措施。

从图中可以看出业务系统中有数据服务器和备份服务器,数据服务器对可靠性和可用性的要求比备份服务器高,SSD硬盘主要应用在线、高可用性、随机读取的情况,适用于大中型企业关键任务资料的存储,效能高并且扩充性极高;

SATA磁盘主要应用于线、近线作业、高可用性、随机读取、循序读取的情况相比SATA,SSD的可靠性与可用性更高,因此数据库服务器选择SSD硬盘更加合适,而备份服务器选择SATA合适可以采用性能与可靠性都不错的RAID+或RAID5,相比于RAID5,RAID+的性能更高,所以数据库系统采用RAID+,备份服务器采用RAID5的方式。

常用虚拟化实现方式有一虚多和多虚多,本例中应选择何种方式?请说明理由。选用多虚多的方式,由于采用独立的服务器方式资源利用率低,为提高资源利用率,将多个独立的服务器进行统一的调度与管理,将多台物理服务器虚拟化成一台逻辑服务器,然后将其划分为多个虚拟环境,即多个业务在多台虚拟服务器上运行。

常用的备份方式有Host-Based、LN-Base、LN-Free、Server-Free,为该企业选择备份方式,请说明理由。采用Host-Based backup结构的优点是数据传输速度快,备份管理简单,缺点是不利于备份系统的共享,不适合现在大型的数据备份要求;

采用LN-Base backup结构的优点是节省投资、磁带库共享,集中备份管理,缺点是对网络传输压力大;

LN-Free和Server-Free的备份系统是建立在SN(存储局域网)的基础上,基于SN的备份是一种彻底解决传统备份方式占用LAN带宽问题的解决方案,采用一种新的体系结构,将磁盘库和磁盘阵列各自作为独立的光纤节点,多台主机共享磁盘库备份时,数据流不在经过网络而是直接从磁盘阵列传到磁盘库里,是一种无须占用网络带宽的解决方案。

目前随着SN技术的不断进步,LN-Free的结构已经相当成熟,而Server-Free的备份结构则不太成熟。因此在本方案中建议采用LN-Free方式。

服务器虚拟化改造完成后,每台主机承载的虚拟机和应用汇更多,可能会带来什么问题?如何解决?

如果服务器每台资源利用过集中,且某些应用占用资源高,会影响到服务器的整体性能。可以根据服务的类型,对每台服务器的资源进行限制,对于重要的服务,优先占用资源。

三、以下为某教育机构网站网络拓扑图,该网站主要提供在线课堂、教师培训、教学管理等服务。

根据网络安全防范需求,需要在不同位置部署不同的安全设备,进行不同的安全防范。在安全设备1上部署防火墙,在安全设备2上部署入侵检测系统(IDS),在安全设备3上部署入侵防御系统(IPS)。

在网络中需要加入以下安全防护措施:访问控制、上网行为审计、防病毒、数据加密、身份认证、漏洞扫描、入侵监测等。

在防火墙上可部署的防范措施有:访问控制、URL过滤、网络流量监控;

在IDS上可部署的防范措施有:入侵检测、恶意代码识别、攻击特征库更新;

在IPS上可部署的防范措施有:入侵防御、病毒拦截、漏洞防护、安全事件响应等。

综合以上拓扑,请简要说明入侵防御系统(IPS)的不足和缺点。访问WEB服务的流量都要经过IPS,IPS是入侵防御系统。IPS会对数据包进行重组,对数据的传输层、网络层、应用层中的各字段做分析并与签名库做比对,如果没有问题才会转发出去。IPS规划在这个位置会加大对网络的延迟,同时,网络中部署一个IPS会存在单点故障问题。

该企业网站管理员收到某知名漏洞平台转发在线课堂系统的漏洞报告,报告内容包括:(1)利用XX反序列化漏洞,可以上传jsp文件到服务器;(2)获取数据库链接信息,可连接数据库,查看系统表和用户表,获取系统管理员登录账号和密码信息,其中登录密码为明文存储;(3)使用系统管理员账号登录在线课堂系统后,可以操作系统的所有功能模块。针对上述存在的多处安全漏洞,提出相应的改进措施:

a:及时更新补丁,采用相应的安全措施防范XX反序列化漏洞;

b:软件代码设计严谨,避免不安全代码执行;

c:数据库相关安全设置,账号密码采用密文等加密手段;

d:各个系统的登录账号密码采用不同的字符。

author

Related Posts